IEとOpenSSLの脆弱性（セキュリティホール）

この１ヶ月の間に、日経新聞に大きく２つのセキュリティホールの記事が掲載されました。長く日経新聞を読んでいますが、セキュリティホールの記事がこれほどの紙面で書かれていたことは無いと記憶しています。

これらのことを商用ソフトウェア（＝クローズソースソフトウェア）とオープンソースソフトウェアの観点から考えてみたいと思います。

• 4/26に見つかり、5/1にパッチが公開されたIEのセキュリティホールですが、5/2の＠IT記事からは、以下ことがわかります。
• 米国のセキュリティ企業、ファイア・アイが発見している。（ちなみにファイヤ・アイの現在の日本法人の茂木社長は、昔ミラクル・リナックスの社長も兼任されていました。もう１０年以上前のことですが。）
• 修正パッチが提供されるまでに５日間かかっている。
• 「マイクロソフトもまた、この脆弱性については「大き過ぎる懸念が広がっていると考えており、攻撃は非常に限定的」と述べている。」と、MS社の言い分だけしか分からない。
• 「パッチの配布対象は、Windows XPから8.1 UpdateまでのIE 6～11。Windows XPについては、利用している一ユーザーがいまだに非常に多い状況を受け、「特別な措置」として、Windows XP SP3向け緊急パッチを提供する。」とどのバージョンにパッチを提供するのは、MS社の決定に委ねるしかない。
• OpenSSLのセキュリティは、4/16のITmediaの記事などから以下のことがわかります。
• AmazonやGoogleは、セキュリティホール情報が正式に公開される前に自社で修正パッチを作成している。
• 「シマンテックによると、4月16日時点でWeb解析サービスAlexaの上位1000サイト全てが脆弱性対応を既に完了している。上位5万サイトで脆弱性の影響を受けるのは1.8％だったという。」というように様々な情報が出てくる。

これらの２つのことから言えることは、

• OSSの場合には、エンジニアがいれば、自社で修正パッチを作成することができるために、メーカ（今回はMS社）からの提供を待たなくても良い。
• OSSの場合には、様々な企業が情報を公開してくれる。
• どのような修正が入ったかは、ソースコードを見れば分かるので、どのような修正が入っているかを確認できる。

ということです。ソースコードが公開されていることにより、セキュリティホールを悪用することが起こりやすいという意見を出される方もいらっしゃいますが、逆に発見された時の対応が早いのも事実です。
どちらが良いのかを判断するのは、各企業の方々ですが、私は、やはりOSSの情報公開や対応のスピードを選択して、様々なOSSを活用することが企業にとっても良いことであると確信しています。